Windows 10 & 11のセキュリティ関連 自分用メモ書き

BIOS

有効化するもの

DMA protection
Kernel DMA protectionに必要
IOMMU
大体すべてに必要
SVM
Virtualization-based Securityに必要
fTPM
Bitlockerとその他に必要
Secure boot
大体すべてに必要
Modern standby (S0)にする項目
PCR[7]に必要

ごった煮

Virtualization-based Security

System Guard Secure Launch and System Management Mode (SMM) protection

AMDシステムで使うにはSKINIT packageというものがWindowsに統合されていなければいけない。SKINIT packageは「Secured-core PC（Microsoftが認定したセキュアな量販PC）には入ってるらしい。自作PCで使えないの悲しい。

Kernel DMA Protection

BitLocker

とても良い記事を書いてくださっています
https://cutxout.hatenadiary.jp/entry/20210708/1625753201
manage-bdeでごにょれる
以下TPMとPIN併用で使うことをベースとする

BitlockerとDevice encryption(デバイス暗号化)の違い

デバイス暗号化は簡単化されたBitlockerでHomeエディションでも使える。
デバイス暗号化はMicrosoft accountが必要らしい。
デバイス暗号化は管理ができずに突然回復キーを求められどうしようもなくなる残念仕様らしい。
デバイス暗号化を使う意味はない。

したがってMSINFO32にある「デバイス暗号化のサポート」が失敗してても無視してよい、と思う

BitlockerへのDMAからの攻撃

Kernel DMA Protectionを有効にしておけば対策不要らしい。

追記 2023-02-27
https://learn.microsoft.com/ja-jp/windows/security/information-protection/bitlocker/bitlocker-countermeasures

グループポリシーで変えたほうがいい項目

コンピューターの構成-管理用テンプレート-Windowsコンポーネント-BitLockerドライブ暗号化-オペレーティングシステムのドライブ

• スタートアップの拡張PINを許可する
• スタートアップ時に追加の認証を要求する
• 互換性のあるTPMが装備されていない～ → TPMあれば外す
• TPM スタートアップの構成 → TPMを許可する
• TPM スタートアップPINの構成 → TPMでスタートアップPINを要求する
• TPM スタートアップキーの構成 → 許可しない
• TPM スタートアップキーとPINの構成 → 許可しない

コンピューターの構成-管理用テンプレート-システム-トラステッドプラットフォームモジュールサービス

• 標準ユーザーのロックアウト期間 → 720分
• 標準ユーザーごとのロックアウト閾値 → 6回
• 標準ユーザー全体のロックアウト閾値 → 6回

（効かないという噂有り）

TPMを後から有効にする方法

現状

ボリューム C: []
[OS ボリューム]

    サイズ:                 930.87 GB
    BitLocker のバージョン: 2.0
    変換状態:               使用領域のみ暗号化
    暗号化された割合:       100.0%
    暗号化の方法:           XTS-AES 128
    保護状態:               保護はオンです
    ロック状態:             ロック解除
    識別子フィールド:       不明
    キーの保護機能:
        パスワード
        数字パスワード

パスワードは　-Password
数字パスワードは　-RecoveryPassword
のことのようなので-Passwordを削除して-TPMAndPINを有効にすればいい
PINにアルファベット使えるようにするにはgpedit.mscでスタートアップの拡張PINを許可するを有効にしておく必要があると思う

Windows Defender Credential Guard

TPMのPCR

使用されている PCR バンクを特定するにはどうすればよいですか?
レジストリに書き込まれている。

Firmware protectionにはPCR[7]が必要らしい。]

注意
System Guardセキュア起動を有効にするには、プラットフォームは、System Guard、Device Guard、Credential Guard、仮想化ベースのセキュリティに関するすべてのベースライン要件を満たす必要があります。

Bitlockerは既定でPCR[7]とPCR[11]を使用する。

PCR 7 測定は、Microsoft Surface RT などのモダン スタンバイ (Always On、Always Connected PC とも呼ばれます) をサポートするシステムに必須のロゴ要件です。 このようなシステムでは、PCR 7 測定とセキュア ブートを備えた TPM が正しく構成されている場合、BitLocker は既定で PCR 7 と PCR 11 にバインドします。

PCR[7]はモダンスタンバイ(S0 Low Power Idle)が必要らしい。

S0 Low Power IdleはS3 standby(スリープモード)と同時に有効化できない。変更はUEFI上で行い、変更するには通常はWindowsの再インストールが必要になる。また、最近のマザーボードではS0 Low Power Idleをあまりサポートしていないらしい。(Z690 modern standbyとかで検索)